Cato ডেটাকে Splunk এর সাথে ইন্টিগ্রেট করা

সারসংক্ষেপ

Splunk ইন্টিগ্রেশন Cato-কে ডেটা সরাসরি Splunk-এ স্থানান্তর করতে সক্ষম করে একটি দেশীয় কানেক্টর ব্যবহার করে এবং দুটি ডেটা উৎসকে সমর্থন করে:

  • ইভেন্ট - নেটওয়ার্ক বা সিস্টেমে নির্দিষ্ট ক্রিয়াকলাপ ঘটে যখন তৈরি হয়, যেমন যখন কোনো নীতি নিয়ম মিলে যায় বা একটা হুমকি সনাক্ত হয়। এই রেকর্ডগুলি নিরাপত্তা এবং নীতি প্রয়োগের উপর সুনির্দিষ্ট, বাস্তব-সময়ের অন্তর্দৃষ্টি প্রদান করে। ডেটা পাঠানো হচ্ছে Cato এর ইভেন্ট স্কিমা ব্যবহার করে।

  • প্রবাহ - নেটওয়ার্ক প্রবাহ (5-টাপল) হিসাবে প্রদর্শিত হয় এবং বিভিন্ন Cato ইঞ্জিনের মাধ্যমে অ্যাপ্লিকেশন স্তরের তথ্য উপলব্ধ হওয়ার সাথে সাথে উন্নত হয়। অ্যাপ্লিকেশন এবং ব্যবহারকারী প্রেক্ষাপটের পাশাপাশি, প্রবাহে ক্ষণিকের ডেটা যেমন বাইট, প্যাকেট এবং সময়কাল অন্তর্ভুক্ত থাকে, যা সময়ের সাথে নেটওয়ার্ক কার্যকলাপের একটি পূর্ণাঙ্গ দৃশ্য প্রদান করে। প্রবাহ ক্ষেত্রগুলির সুপারসেটটি appStats স্কিমা দ্বারা উপস্থাপিত হয়।

    কিছু ক্ষেত্র শুধুমাত্র স্বদেশী ইন্টিগ্রেশনের মাধ্যমে প্রবাহিত প্রবাহের জন্য উপলব্ধ এবং তা appStats বা অ্যাপ্লিকেশন বিশ্লেষণের অংশ নয়। উদাহরণস্বরূপ, flow_id এবং সংগ্রহ করা মেট্রিক যেমন আপস্ট্রিম ও ডাউনস্ট্রিম প্যাকেট ও বাইট, এবং প্রবাহ সময়কাল। এই ক্ষেত্রগুলি নিম্নলিখিত মন্তব্য দিয়ে চিহ্নিত করা হয়েছে:

    প্রাকৃতিক প্রবাহের ডেটা ইন্টিগ্রেশন শুধুমাত্র CMA-তে তৈরি করা হয়েছে।

নোট: XOps ইভেন্টগুলির ( ইভেন্ট প্রকার সনাক্তকরণ এবং প্রতিক্রিয়া) জন্য ঘটনাক্রম তথ্য ধারণকারী কাঁচা ডেটা ক্ষেত্রটি Splunk এ তাদের পাঠানোর সময় সংকুচিত হতে পারে যদি তাদের raw_data ক্ষেত্র (যা গল্পের তথ্য অন্তর্ভুক্ত করে) আকারে 5 MB অতিক্রম করে (এটি Splunk ডিফল্ট, কিন্তু এটি বাড়ানো যেতে পারে)।

ব্যবহার কেস

ইভেন্ট

একটি কোম্পানি Splunk ব্যবহার করছে কেন্দ্রীয় নিরাপত্তা পর্যবেক্ষণ এবং প্রতিক্রিয়ার জন্য। Cato গ্রাহক হিসেবে, তাদের নেটওয়ার্ক অ্যাক্টিভিটি, হুমকি, ব্যবহারকারী ডেটা, ডিভাইস, এবং Cato প্ল্যাটফর্মের মাধ্যমে ট্রাফিকে চলমান সব অন্যান্য দিক থেকে মূল বৈশিষ্ট্যগুলির থেকে সহায়ক ডেটা রয়েছে। এই ইন্টিগ্রেশনটি ব্যবহার করে তারা এই ডেটাকে সরাসরি Splunk এ পাঠাতে পারে, যেখানে তারা SOC এবং NOC দলগুলির জন্য বিদ্যমান কার্যপ্রবাহে সহজেই এটি একত্রিত করতে পারে।

প্রবাহ

Splunk-এ একটি নিরাপত্তা বিশ্লেষক একটি সন্দেহজনক ঘটনা চিহ্নিত করেছেন যেখানে একটি ব্যবহারকারী উচ্চ ঝুঁকির অ্যাপ্লিকেশনটি অ্যাক্সেস করেছেন যা ডেটা এক্সফিল্ট্রেশনের সাথে যুক্ত হতে পারে। Cato ইভেন্টগুলি ব্যবহার করে, বিশ্লেষক নীতি সিদ্ধান্ত, ব্যবহারকারী পরিচিতি এবং অ্যাপ্লিকেশন দেখতে পারেন। যাইহোক, ঘটনাটি দেখায় না কত ডেটা স্থানান্তরিত হয়েছে বা সেশন কতক্ষণ স্থায়ী হয়েছে।

প্রবাহ_id ক্ষেত্রের মাধ্যমে ইভেন্টে সম্পর্কিত সংগ্রহিত ট্রাফিক প্রবাহের ডেটা সহ বিশ্লেষক পূর্ণ সেশন প্রেক্ষাপট দেখতে পারেন, মোট স্থানান্তরিত বাইট, প্যাকেট সংখ্যা এবং সেশন সময়কাল অন্তর্ভুক্ত করে। এটি বিশ্লেষককে নির্ধারণ করতে সহায়তা করে যে কার্যকলাপটি সামান্য মিথস্ক্রিয়া ছিল বা বড় ডেটা স্থানান্তর যা এক্সফিল্ট্রেশন নির্দেশ করতে পারে।

ইভেন্ট এবং প্রবাহের ডেটা একত্রিত করে, বিশ্লেষক দ্রুত ঘটনার গুরুত্ব যাচাই করতে এবং যথাযথ পদক্ষেপ নিতে পারেন।

Prerequisites

Splunk ইন্টিগ্রেশন তৈরি করা হচ্ছে

Splunk এ একটি HEC টোকেন তৈরি করার পর, আপনি CMA-তে একটি ইন্টিগ্রেশন সংজ্ঞায়িত করবেন। আপনি যে ইভেন্টের ডেটা অন্তর্ভুক্ত করতে চান তা সীমিত করার জন্য আপনি ফিল্টারগুলি ব্যবহার করতে পারেন। ইন্টিগ্রেশন তৈরি করার পর, ডেটা আপনার নির্ধারিত সূচকে Splunk এ প্রবাহিত হয়।

কনফিগারেশন প্রক্রিয়ায়, আপনি ইভেন্ট, প্রবাহ বা উভয় ইন্টিগ্রেশন করতে কনফিগার করতে পারেন। ডিফল্টভাবে শুধুমাত্র ইভেন্টগুলি কনফিগার করা হয়েছে। প্রবাহের ডেটা উৎস তুলনায় ইভেন্টগুলির তুলনায় উল্লেখযোগ্যভাবে উচ্চতর ডেটা তৈরি করতে পারে। আপনার ট্রাফিকের উপর নির্ভুল পরিমাণ নির্ভর করে। CMA একাধিক ইন্টিগ্রেশন কনফিগার করা সমর্থন করে, আপনাকে প্রয়োজন অনুযায়ী বিভিন্ন ডেটা উত্স পাঠানোর অনুমতি দেয়।

Splunk URL এবং পোর্ট হল আপনার অ্যাকাউন্টে অ্যাক্সেসের জন্য HEC এন্ডপয়েন্ট। সাধারণভাবে, এটি ওয়েব URL যা আপনি http-inputs- দ্বারা শুরু হয়ে Splunk এ অ্যাক্সেস করতে ব্যবহার করেন। উদাহরণস্বরূপ, যদি আপনার অ্যাকাউন্ট হয় http://mydomain.splunk.com, তাহলে আপনি ব্যবহার করবেন https://http-inputs-mydomain.splunkcloud.com/. আরও তথ্যের জন্য দেখুন Splunk ডকুমেন্টেশন. পোর্ট ঐচ্ছিক, এবং আমরা 443 ব্যবহার করি যদি আপনি কিছু অন্য কিছু নির্দিষ্ট না করেন (যা Splunk Cloud এর ডিফল্ট)।

CMA-তে ইন্টিগ্রেশনটি মুছে ফেললে Splunk এ তৈরি করা কোনো সম্পদ অপসারণ হয় না।

নোট:

  • Splunk Enterprise (স্বয়ংশাসিত) ইন্টিগ্রেশনের জন্য:

    • Splunk HEC এন্ডপয়েন্ট ইন্টারনেটের মাধ্যমে পৌঁছানোর মতো হতে হবে (উদাহরণ: জনসাধারণ আইপি বা জনসাধারণ DNS নাম দ্বারা প্রকাশিত)। ব্যক্তিগত আইপিএস বা শুধুমাত্র অভ্যন্তরীণ এন্ডপয়েন্ট সমর্থিত নয়।
    • TLS পরিদর্শন সক্রিয় থাকতে হবে, এবং এন্ডপয়েন্ট একটি বিশ্বাসযোগ্য জনসাধারণ সার্টিফিকেট অথোরিটি দ্বারা প্রকাশিত বৈধ X.509 সার্টিফিকেট প্রদর্শন করতে হবে। আপন-স্বাক্ষরিত অথবা ব্যক্তিগতভাবে প্রদত্ত CA সার্টিফিকেট সমর্থিত নয়, কারণ সংযোগগুলো শুধুমাত্র স্ট্যান্ডার্ড CA বিশ্বাসের শৃঙ্খলা ব্যবহার করে যাচাই করা হয়।

Splunk ইন্টিগ্রেশন তৈরি করতে:

  1. আপনার Splunk অ্যাকাউন্টে, এই ইন্টিগ্রেশনের জন্য এক নতুন টোকেন তৈরি করুন। বিস্তারিত জানতে, দেখুন Splunk ডকুমেন্টেশন। আপনি টোকেনের জন্য একটি কাস্টম সূচক নির্ধারণ করতে পারেন বা ডিফল্ট সূচক ব্যবহার করতে পারেন।
  2. দেখানো টোকেন মানটি কপি করুন। Cato এর সাথে ইন্টিগ্রেশন কনফিগার করতে আপনার এটি প্রয়োজন হবে।
  3. নেভিগেশন মেনু থেকে সম্পদ > ইন্টিগ্রেশন ক্লিক করুন।
  4. ইন্টিগ্রেটেড অ্যাপস ট্যাবে, নতুন ক্লিক করুন। নতুন ইন্টিগ্রেশন প্যানেলটি খুলবে।

  5. নির্বাচন করুন Splunk এবং নিম্নলিখিত ক্ষেত্রগুলি কনফিগার করুন:

    splunk_integration.png
    1. নির্বাচন: API কী নির্বাচন করুন।
    2. অ্যাপ্লিকেশন বিশ্লেষণ বা ইন্টিগ্রেশন জন্য সংযোগকারী নাম এবং বিবরণ( ঐচ্ছিক)।
    3. Splunk-এ আপনি যে ইনজেশন URL এবং API কী তৈরি করেছেন।
    4. যে সূচক Cato থেকে ডেটা গ্রহণ করবে তা নির্দিষ্ট করুন। আপনি এটা ফাঁকা রাখলে, আমরা HEC টোকেনের উপর নির্ধারিত ডিফল্ট সূচক ব্যবহার করব।
    5. ইভেন্ট, প্রবাহ, বা উভয় ইন্টিগ্রেট করা হবে কিনা তা নির্ধারণ করুন।

    6. কোন Cato ইভেন্টগুলো Splunk-এ পাঠানো হবে তা সীমাবদ্ধ করতে ফিল্টার ব্যবহার করুন।  

      নোট: ফিল্টারগুলি শুধুমাত্র ইভেন্ট ডেটায় প্রযোজ্য।

    7. যদি ইন্টিগ্রেশনের সাথে ত্রুটি ঘটে তাহলে ইভেন্ট তৈরি করতে চান কিনা তা নির্দিষ্ট করুন।
  6. সংরক্ষণ করুন এ ক্লিক করুন।
  7. CMA-তে, Integrations পৃষ্ঠাটি রিফ্রেশ করার পরে, আপনি Integrated Apps ট্যাবে ইন্টিগ্রেশনের স্ট্যাটাস দেখতে পারেন।

জন্মগত টার্নকি এবং কাস্টম গিটহাব ইন্টিগ্রেশন পদ্ধতিগুলির মধ্যে নির্বাচন করা

এই লেখায় বর্ণিত জন্মগত টার্নকি ইন্টিগ্রেশনের বাইরে, আপনি Cato এর GitHub অ্যাকাউন্ট এর সরঞ্জামগুলি ব্যবহার করে Cato ইভেন্টগুলি Splunk এর সাথে একত্রিত করতে পারেন। প্রতিটি পন্থা আপনার লক্ষ্য এবং পরিবেশের উপর নির্ভর করে স্বতন্ত্র সুবিধা প্রদান করে। আপনাকে উভয় ইন্টিগ্রেশনের প্রয়োজন হলে উভয়ই ব্যবহার করতে পারেন।

যখন জন্মগত ইন্টিগ্রেশন ব্যবহার করবেন

Cato এর জন্মগত ইন্টিগ্রেশনটি একটি স্কেলযোগ্য এবং সাপোর্টযোগ্য সমাধান প্রদান করে מינিমাল কনফিগারেশন দিয়ে। জন্মগত ইন্টিগ্রেশনের সুবিধাগুলি অন্তর্ভুক্ত:

  • API ভিত্তিক সীমাবদ্ধতা ছাড়াই বড় মাত্রার ইভেন্টগুলি দক্ষতার সাথে পরিচালনা করার ক্ষমতা
  • Cato দ্বারা পূর্ণাঙ্গভাবে রক্ষণাবেক্ষণ এবং সাপোর্টকৃত

যখন গিটহাব ইন্টিগ্রেশন ব্যবহার করবেন

গিটহাব ইন্টিগ্রেশন উন্নত ব্যবহার কেসগুলির জন্য নমনীয়তা প্রদান করে যেখানে কাস্টম ডেটা উৎস বা প্রক্রিয়াকরণ লজিক প্রয়োজন। এই ইন্টিগ্রেশনটি ব্যবহার করতে চান নিম্নলিখিত পরিস্থিতিতে:

  • Cato এর অডিট লগ থেকে ডেটা Splunk এ পাঠাতে চান
  • অপেন সোর্স সংস্থান হিসাবে আমাদের গিটহাব ব্যবহার করতে চান ইন্টিগ্রেশন কাস্টমাইজ করতে

এই নিবন্ধটি কি সহায়ক ছিল?

0 জনের মধ্যে 0 জন এটিকে সহায়ক বলে মনে করেছেন

0 মন্তব্য